Vazamento de Dados das 'Coleções' Afeta Ainda Mais Senhas: O Total Agora Chega a 2,2 Bilhões
Dois mil arquivos, 87 GB e pouco menos de 2,7 bilhões de registros. Isso é o que o especialista em segurança cibernética Troy Hunt enfrentou quando um de seus seguidores o indicou para um grande banco de dados de informações confidenciais. Depois de analisar e limpar cuidadosamente os dados, Hunt descobriu que os números não são tão grandes. No total, havia 773 milhões de endereços de e-mail exclusivos e cerca de 21 milhões de senhas exclusivas. Mesmo assim, esse ainda era o maior 'dump' de dados que o pesquisador australiano já havia visto. O que foi ainda mais preocupante foi que o banco de dados foi chamado de ' Coleção #1 ', o que sugeriu que poderia haver a 'Coleção #2'. Acontece que a 'Coleção #2' existe. Bem como a 'Coleção #3', a 'Coleção #4' e a 'Coleção #5'.
Índice
Parece muito ruim
Desta vez, não foi Troy Hunt quem primeiro colocou as mãos nas quatro "Coleções". Os pesquisadores do Instituto Hasso-Plattner (HPI) na Alemanha os analisaram, e Heise Online (link em alemão) foi a primeira saída para relatar os resultados. De acordo com a Wired, que também analisou os dados, desta vez, estamos falando de 845 GB de dados colocados em cerca de 25 bilhões de registros. Entre as cinco coleções, há um total de 2,2 bilhões de endereços de e-mail e senhas associadas.
As más notícias não param por aí. Uma das coisas mais assustadoras da Coleção 1 era a facilidade de acesso. As outras quatro "Coleções" não são diferentes. Os pesquisadores da HPI as encontraram na plataforma de hospedagem de arquivos MEGA, e quando a Wired pediu ao especialista em segurança Chris Rouland para dar uma olhada nelas, ele as obteve por meio de um torrent que tinha 130 semeadores e havia sido baixado mais de 1.000 vezes.
Em outras palavras, todos esses endereços de e-mail e senhas estão disponíveis publicamente. Você só precisa do link certo e um pouco de paciência para obtê-los.
As boas notícias
Como o primeiro despejo, não estamos falando de um único incidente de hacking. Aparentemente, alguém passou pelo problema de pegar os dados vazados durante um número desconhecido de violações e colocar tudo em um grande banco de dados.
Ninguém sabe quais provedores vazaram as informações, mas a Wired avalia que a maioria das credenciais agora é bem antiga e, portanto, inválida. Eles acham que há alguns anos, hackers inteligentes os roubaram e abusaram deles, após o que o seu valor monetário em potencial caiu. Eventualmente, eles acabaram mudando de mãos de graça, e agora, todos eles estão coletados em um só lugar. O fato de que ninguém está disposto a pagar por eles não significa, no entanto, que eles são inúteis.
O dump ainda pode alimentar golpes e ataques cibernéticos
A idade dos endereços de e-mail e senhas não deve nos enganar e nos dar uma falsa sensação de segurança. Muitos usuários não têm o hábito de alterar as senhas, e alguns dos que empregam mecanismos de rotação, o que significa que a reutilização de senhas ainda são um problema.
Além disso, quando os fraudadores começaram a enviar emails de extorsão sexual com algumas senhas antigas no ano passado, muitas pessoas pensavam que os usuários detectariam a discrepância e não cederiam às exigências ridículas. No final, as vítimas assustadas acabaram pagando milhões de dólares aos fraudadores em Bitcoins.
Apesar da idade, as credenciais são fáceis de obter, e não custam um centavo, o que as torna perfeitas para os bandidos que não têm dinheiro nem recursos para montar um ataque sofisticado. E você ficaria surpreso com quantas pessoas desse tipo estão por aí.
O Troy Hunt ainda não carregou os dados no seu serviço do HaveIBeenPwned, mas você pode verificar se os seus e-mails estão contidos nas cinco coleções usando o Verificador de Vazamento de Identidade HPI .
